Azure 防火墙采用高可用性和冗余设计。 它会尽一切努力避免服务中断。 但在某些情况下,Azure 防火墙可能会删除长时间运行的 TCP 会话。
影响长期运行的 TCP 会话的情况
以下情况可能会删除长时间运行的 TCP 会话:
- 缩小
- 防火墙维护
- 空闲超时
- 自动恢复
缩小
Azure 防火墙根据吞吐量和 CPU 使用率进行横向缩减/横向扩展。 在回收 VM 实例之前,将 VM 实例置于清空模式 90 秒后进行横向缩减。 90 秒后,VM 实例上剩余的任何长期运行的连接都会断开连接。
防火墙维护
Azure 防火墙工程团队会根据需要更新防火墙(通常每月一次),通常在该区域的本地时区的夜间进行。 更新包括安全修补程序、bug 修复和新功能推出,它们是通过在滚动更新模式下配置防火墙来应用的。 在重置防火墙实例的映像以便为短期会话提供进行清空所需的时间之前,防火墙实例处于清空模式。 重启期间,会删除清空期过后实例上剩余的长时间运行的会话。
空闲超时
已部署空闲计时器来回收空闲会话。 东西连接的默认值为四分钟,无法更改。 保持活动的应用程序不会空闲超时。
对于需要超过 4 分钟(IOT 设备的典型值)的南北连接,你可以联系支持人员,在后端将连接超时延长到最多 15 分钟。
自动恢复
Azure 防火墙会不断监视 VM 实例,并在任何实例无响应的情况下自动将其恢复。 一般情况下,防火墙实例在 30 天内自动恢复的可能性为 1/100。
对 TCP 会话重置敏感的应用程序
会话断开连接对于可正常处理会话重置的可复原应用程序来说不是问题。 但是,有几个应用程序(例如传统的基于 SAP GUI 和 SAP RFC 的应用)对会话重置比较敏感。 使用网络安全组 (NSG) 保护敏感应用程序。
网络安全组
可以部署网络安全组 (NSG) 来防范未经请求的流量进入 Azure 子网。 网络安全组是简单的有状态数据包检查设备,使用 5 元组方法(源 IP、源端口、目标 IP、目标端口和第 4 层协议)来创建网络流量的允许/拒绝规则。 可以允许或拒绝流往或来自单个 IP 地址、多个 IP 地址或整个子网的流量。 NSG 流日志通过记录有关流经 NSG 的 IP 流量的信息来帮助审核。 若要详细了解 NSG 流日志记录,请参阅网络安全组流日志记录简介。
后续步骤
若要详细了解 Azure 防火墙性能,请参阅 Azure 防火墙性能。